JP6773116B2 - Communication method - Google Patents
Communication method Download PDFInfo
- Publication number
- JP6773116B2 JP6773116B2 JP2018527677A JP2018527677A JP6773116B2 JP 6773116 B2 JP6773116 B2 JP 6773116B2 JP 2018527677 A JP2018527677 A JP 2018527677A JP 2018527677 A JP2018527677 A JP 2018527677A JP 6773116 B2 JP6773116 B2 JP 6773116B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- communication
- key
- network slice
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/12—Access point controller devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/24—Interfaces between hierarchically similar devices between backbone network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Description
本開示は通信システム、加入者情報管理装置、情報取得方法、及び、プログラムに関し、例えばセキュリティ処理を実行する通信システム、加入者情報管理装置、情報取得方法、及び、プログラムに関する。 The present disclosure relates to a communication system, a subscriber information management device, an information acquisition method, and a program, for example, a communication system that executes security processing, a subscriber information management device, an information acquisition method, and a program.
近年、IoT(Internet of Things)サービスに関する検討が進められている。IoTサービスには、ユーザの操作を必要とせず、自律的に通信を実行する端末(以下、IoT端末とする)が数多く用いられる。そこで、サービス事業者が多くのIoT端末を用いてIoTサービスを提供するために、通信事業者等が管理するネットワークにおいて、多くのIoT端末を効率的に収容することが望まれている。 In recent years, studies on IoT (Internet of Things) services have been underway. For the IoT service, many terminals (hereinafter referred to as IoT terminals) that autonomously execute communication without requiring user operation are used. Therefore, in order for a service provider to provide an IoT service using many IoT terminals, it is desired to efficiently accommodate many IoT terminals in a network managed by a telecommunications carrier or the like.
非特許文献1には、Annex Bにおいて、ネットワークスライシングを適用したコアネットワークの構成が記載されている。ネットワークスライシングは、多くのIoT端末を効率的に収容するために、提供するサービス毎にコアネットワークを分割する技術である。また、5.1節において、分割されたそれぞれのネットワーク(ネットワークスライスシステム)には、カスタマイズや最適化が必要になることが記載されている。 Non-Patent Document 1 describes the configuration of a core network to which network slicing is applied in Annex B. Network slicing is a technology for dividing a core network for each service to be provided in order to efficiently accommodate many IoT terminals. In addition, Section 5.1 states that each divided network (network slice system) needs to be customized and optimized.
一方、非特許文献2の6.2節には、EPS(Evolved Packet System)のセキュリティ処理において用いられる鍵の構成が記載されている。具体的には、USIM(Universal Subscriber Identity Module)及びAuC(Authentication Center)が、マスター鍵Kを有している。USIM及びAuCは、マスター鍵Kを用いて、CK(Confidentiality Key)及びIK(Integrity Key)を生成する。 On the other hand, Section 6.2 of Non-Patent Document 2 describes the structure of the key used in the security processing of EPS (Evolved Packet System). Specifically, USIM (Universal Subscriber Identity Module) and AuC (Authentication Center) have a master key K. USIM and AuC use the master key K to generate CK (Confidentiality Key) and IK (Integrity Key).
次に、UE(User Equipment)及びHSS(Home Subscriber Server)は、CK、IK、及び、SNID(Serving Network Identity)を用いて、鍵KASMEを生成する。SNIDは、通信事業者を識別するIDである。次に、UE及びMME(Mobility Management Entity)は、鍵KASMEを用いて、コアネットワーク及び無線アクセスネットワークのセキュリティ処理に用いられる鍵を生成する。Next, the UE (User Equipment) and the HSS (Home Subscriber Server) generate a key K ASME using CK, IK, and SSID (Serving Network Identity). The SNID is an ID that identifies a telecommunications carrier. Next, the UE and the MME (Mobility Management Entity) use the key KASME to generate a key used for security processing of the core network and the radio access network.
EPSにおいては、このようにして生成された鍵を用いて、メッセージの暗号化及びメッセージの改ざん防止(メッセージの完全性保証)等のセキュリティ処理が実行される。 In EPS, security processing such as message encryption and message tampering prevention (message integrity guarantee) is executed using the key generated in this way.
非特許文献1に開示されているネットワークスライシングが適用された場合、それぞれのネットワークスライスシステムの独立性を高め、セキュリティを向上させるために、ネットワークスライスシステム毎に異なる鍵を使用することが想定される。しかし、非特許文献2に開示されている鍵の構成は、UEが、コアネットワーク内においては、1つの鍵KASMEを使用することを示している。そのため、非特許文献2に開示されている鍵の構成を、ネットワークスライシングが適用されたコアネットワークに用いても、ネットワークスライスシステム毎に異なる鍵を生成することができない。そのため、それぞれのネットワークスライスシステムの独立性を高め、セキュリティを向上させることができないという問題がある。When the network slicing disclosed in Non-Patent Document 1 is applied, it is assumed that different keys are used for each network slicing system in order to increase the independence of each network slicing system and improve security. .. However, the key configuration disclosed in Non-Patent Document 2 indicates that the UE uses one key KASME in the core network. Therefore, even if the key configuration disclosed in Non-Patent Document 2 is used for the core network to which network slicing is applied, it is not possible to generate a different key for each network slice system. Therefore, there is a problem that the independence of each network slicing system cannot be improved and the security cannot be improved.
本開示の目的は、ネットワークスライシングがコアネットワークに適用された場合に、分割されたそれぞれのネットワーク(ネットワークスライスシステム)において高いセキュリティレベルを維持することができる通信システム、加入者情報管理装置、情報取得方法、及び、プログラムを提供することにある。 An object of the present disclosure is a communication system, a subscriber information management device, and information acquisition that can maintain a high security level in each divided network (network slice system) when network slicing is applied to a core network. It is to provide methods and programs.
本開示の第1の態様にかかる通信システムは、通信端末の加入者情報を管理する加入者情報管理装置と、前記通信端末と、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報とを関連付けて管理するセキュリティ装置と、を備え、前記加入者情報管理装置は、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得するものである。 The communication system according to the first aspect of the present disclosure is used in a subscriber information management device that manages subscriber information of a communication terminal, the communication terminal, and at least one network slice system in which the communication terminal can be used. The subscriber information management device includes a security device that manages the security information in association with the security information, and the subscriber information management device uses the identification information of the communication terminal and the identification information of the network slice system used by the communication terminal from the security device. It acquires security information used in the network slice system used by the communication terminal.
本開示の第2の態様にかかる加入者情報管理装置は、通信端末、及び、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報、を関連付けて管理するセキュリティ装置と通信する通信部と、前記セキュリティ装置と関連付けられた前記ネットワークスライスシステムの識別情報を管理する管理部と、を備え、前記通信部は、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得するものである。 The subscriber information management device according to the second aspect of the present disclosure communicates with a communication terminal and a security device that manages the security information used in at least one network slice system available to the communication terminal in association with each other. The communication unit includes a communication unit and a management unit that manages identification information of the network slice system associated with the security device. The communication unit includes identification information of the communication terminal and a network slice system used by the communication terminal. The identification information is used to acquire the security information used in the network slice system used by the communication terminal from the security device.
本開示の第3の態様にかかる情報取得方法は、通信端末、及び、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報、を関連付けて管理するセキュリティ装置と、前記セキュリティ装置と関連付けられた前記ネットワークスライスシステムの識別情報を管理し、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得するものである。 The information acquisition method according to the third aspect of the present disclosure includes a security device that manages a communication terminal and security information used in at least one network slice system that can be used by the communication terminal in association with each other, and the security device. The network slice system used by the communication terminal from the security device by managing the identification information of the network slice system associated with the security device and using the identification information of the communication terminal and the identification information of the network slice system used by the communication terminal. This is to acquire the security information used in.
本開示の第4の態様にかかるプログラムは、通信端末、及び、前記通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報、を関連付けて管理するセキュリティ装置と、前記セキュリティ装置と関連付けられた前記ネットワークスライスシステムの識別情報を管理し、前記通信端末の識別情報及び前記通信端末が利用するネットワークスライスシステムの識別情報を用いて前記セキュリティ装置から前記通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得することをコンピュータに実行させるものである。 The program according to the fourth aspect of the present disclosure associates a security device that manages the communication terminal and security information used in at least one network slice system that can be used by the communication terminal with the security device. The identification information of the network slice system is managed, and the identification information of the communication terminal and the identification information of the network slice system used by the communication terminal are used in the network slice system used by the communication terminal from the security device. It causes the computer to acquire the security information to be obtained.
本開示により、ネットワークスライシングがコアネットワークに適用された場合に、分割されたそれぞれのネットワーク(ネットワークスライスシステム)において高いセキュリティレベルを維持することができる通信システム、加入者情報管理装置、情報取得方法、及び、プログラムを提供することができる。 According to the present disclosure, when network slicing is applied to a core network, a communication system, a subscriber information management device, an information acquisition method, which can maintain a high security level in each divided network (network slice system), And the program can be provided.
(実施の形態1)
以下、図面を参照して本開示の実施の形態について説明する。図1の通信システムは、加入者情報管理装置10及びセキュリティ装置20を有している。加入者情報管理装置10及びセキュリティ装置20は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。(Embodiment 1)
Hereinafter, embodiments of the present disclosure will be described with reference to the drawings. The communication system of FIG. 1 has a subscriber
加入者情報管理装置10は、少なくとも1つの通信端末の加入者情報を管理する。通信端末は、例えば、携帯電話端末、スマートフォン端末、通信機能を有するコンピュータ装置等であってもよい。通信端末は、IoT端末、M2M(Machine to Machine)端末、もしくは、MTC(Machine Type Communication)端末等であってもよい。
The subscriber
加入者情報は、例えば、通信端末を利用するユーザに関する契約情報、通信端末の位置情報、もしくは、通信端末を識別する情報等であってもよい。 The subscriber information may be, for example, contract information about a user who uses the communication terminal, location information of the communication terminal, information for identifying the communication terminal, or the like.
セキュリティ装置20は、通信端末を識別する情報(通信端末の識別情報)と、通信端末が利用可能な少なくとも1つのネットワークスライスシステムにおいて用いられるセキュリティ情報とを関連付けて管理する。セキュリティ情報は、ネットワークスライスシステムごとに固有の情報である。セキュリティ情報は、通信端末を認証する際に用いられる鍵情報であってもよい。セキュリティ情報は、データの暗号化もしくは完全性保証処理を実行する際に用いられる鍵情報等であってもよい。セキュリティ情報は、認証もしくは暗号化等に用いられる鍵情報を生成するために用いるマスター鍵であってもよい。セキュリティ情報は、セキュリティ処理を実行する際に用いられるセキュリティアルゴリズム等であってもよい。
The
加入者情報管理装置10は、通信端末の識別情報及び通信端末が利用するネットワークスライスシステムの識別情報を用いて、セキュリティ装置20から、通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得する。
The subscriber
以上説明したように、図1の通信システムを用いることによって、加入者情報管理装置10は、通信端末が利用するネットワークスライスシステムにおいて用いられるセキュリティ情報を取得することができる。そのため、加入者情報管理装置10は、通信端末が利用するネットワークスライスシステム毎に異なるセキュリティ情報を用いることができる。その結果、ネットワークスライスシステムの独立性を高め、コアネットワーク全体のセキュリティを向上させることができる。
As described above, by using the communication system of FIG. 1, the subscriber
(実施の形態2)
図2を用いて本開示の実施の形態2にかかる通信システムの構成例について説明する。図2の通信システムは、コアネットワーク100、5G RAN(Radio Access Network)80、及び、UE(User Equipment)90を有している。コアネットワーク100は、例えば、3GPP(3rd Generation Partnership Project)において規定されているネットワークであってもよい。(Embodiment 2)
A configuration example of the communication system according to the second embodiment of the present disclosure will be described with reference to FIG. The communication system of FIG. 2 has a
UEは、3GPPにおいて通信端末の総称として用いられる。UE90は図2において1つのみ示されているが、図2の通信システムは複数のUE90を備えていてもよい。
UE is used as a general term for communication terminals in 3GPP. Although only one
5G RAN80は、UE90へ無線回線を提供するネットワークである。5G RAN80は、例えば、基地局を有してもよく、さらに、基地局を制御する基地局制御装置等を有してもよい。5G RAN80は、例えば、低遅延及び広帯域な無線周波数等を実現する次世代のRANである。次世代に用いられるRANとして、5G RANと称しているが、次世代に用いられるRANの名称は、5G RANに限定されない。
The
コアネットワーク100の構成例について説明する。コアネットワーク100は、HSS(Home Subscriber Server)30、AuC(Authentication Center)40、AuC50、AuC60、CPF(Control Plane Function)エンティティ70(以下、CPF70とする)、NS(Nework Slice)システム110、NSシステム120、及び、NSシステム130を有している。各AuCは、HSS30と同じ装置内にあっても良く、AuCの一部の機能が、HSS30に実装されてもよい。また、各AuCは、各NSシステム内に合っても良い。
A configuration example of the
HSS30は、図1の加入者情報管理装置10に相当する。HSS30は、UE90に関する加入者情報を管理する。また、HSS30は、HLR(Home Location Register)に置き換えられてもよい。HSS30は、鍵管理機能を有する。また、HSS30は、それぞれのNSシステムに、鍵情報を送信する。鍵管理機能とは、UEに関する鍵情報をどのノード装置もしくはどのNSシステムへ送信したかを管理する機能である。さらに、鍵管理機能は、ノード装置もしくはNSシステムへ送信した鍵情報の種類等についても管理する機能である。また、HSS30は、鍵管理機能の一部の機能を有し、その他の機能をHSS30と異なる装置が有してもよい。もしくは、鍵管理機能に関する全ての機能を、HSS30と異なる装置が有してもよい。
The
AuC40、AuC50、及びAuC60(以下、AuC40等とする)各々は、図1のセキュリティ装置20に相当する。AuC40等は、UE90に関するセキュリティ処理に用いる鍵情報を管理する。さらに、AuC40等は、UE90に関するセキュリティ処理に関するパラメータを管理する。セキュリティ処理に関するパラメータは、例えば、NAS(Non Access Stratum)の完全性保証処理、機密性処理、及び暗号化処理に用いられるパラメータであってもよい。NASは、UE90等とコアネットワーク100との間の通信に用いられるレイヤである。セキュリティ処理に関するパラメータは、AS(Access Stratum)の完全性保証処理、機密性処理、及び暗号化処理に用いられるパラメータであってもよい。ASは、5G RAN80と、UE90との間の通信に用いられるレイヤである。
Each of AuC40, AuC50, and AuC60 (hereinafter referred to as AuC40, etc.) corresponds to the
セキュリティ処理に関するパラメータは、鍵の長さを規定するパラメータであってもよい。鍵の長さは、例えば、ビット数によって示される。セキュリティ処理に関するパラメータは、暗号化アルゴリズム、鍵生成アルゴリズム、もしくは、認証アルゴリズム等を示すパラメータであってもよい。 The parameter related to security processing may be a parameter that defines the key length. The key length is indicated by, for example, the number of bits. The parameter related to the security process may be a parameter indicating an encryption algorithm, a key generation algorithm, an authentication algorithm, or the like.
CPF70は、コアネットワーク100内において、UE90に関するC−Planeデータを処理する装置である。C−Planeデータは、制御データと称されてもよい。CPF70は、制御データを処理する装置であるため制御装置と称されてもよい。さらに、CPF70は、3GPPにおいて規定されているMME(Mobility Management Entity)に相当する機能を有してもよい。
The
NSシステム110は、NSシステム120及びNSシステム130と異なるサービスを提供するために用いられる通信システムである。また、NSシステム120は、NSシステム130と異なるサービスを提供するために用いられる通信システムである。それぞれのNSシステムが提供するサービスは、例えば、自動運転サービス、スマートメータに関するサービス、もしくは、自動販売機の管理サービス等であってもよい。NSシステムが提供するサービスは、これらのサービスに限定されず、様々なサービスが存在する。
The
図2においては、CPF70は、コアネットワーク100内に配置され、NSシステム110、NSシステム120、及びNSシステム130のいずれにも属していないことを示している。しかし、CPF70は、NSシステム110、NSシステム120、及びNSシステム130のいずれかに属してもよく、もしくは、NSシステム110、NSシステム120、及びNSシステム130のそれぞれが、CPF70を有してもよい。
In FIG. 2, it is shown that the
続いて、図3を用いて本開示の実施の形態2にかかるAuC40の構成例について説明する。AuC50及びAuC60は、AuC40と同様の構成を有している。AuC40は、通信部41、セキュリティ情報管理部42、及び、NS鍵生成部43を有している。通信部41は、送信部(transmitter)及び受信部(receiver)であってもよい。
Subsequently, a configuration example of AuC40 according to the second embodiment of the present disclosure will be described with reference to FIG. AuC50 and AuC60 have the same configuration as AuC40. The AuC40 has a communication unit 41, a security
通信部41、セキュリティ情報管理部42、及びNS鍵生成部43は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。通信部41、セキュリティ情報管理部42、及びNS鍵生成部43は、回路もしくはチップ等のハードウェアであってもよい。
The communication unit 41, the security
通信部41は、主に、HSS30との間においてデータを伝送する。
The communication unit 41 mainly transmits data to and from the
セキュリティ情報管理部42は、UE90毎に関連付けられたセキュリティ情報を管理する。ここで、図4を用いて、セキュリティ情報管理部42が管理する情報について説明する。セキュリティ情報管理部42は、IMSI(International Mobile Subscriber Identity)と、NSID(Network Slice Identity)及びマスター鍵Kとを関連付けて管理している。IMSIは、UE90を識別するために用いられる識別情報である。NSIDは、NSシステムを識別するために用いられる識別情報である。
The security
図4は、IMSIが001であるUEが、NSシステム110及びNSシステム120を利用することができることを示している。さらに、図4は、IMSIが001であるUEに対して、NSシステム110におけるセキュリティ処理に用いられるマスター鍵Ka_001が割り当てられ、NSシステム120におけるセキュリティ処理に用いられるマスター鍵Kb_001が割り当てられていることを示している。IMSIが002であるUEに関しても、利用可能なNSシステムと、そのNSシステムにおけるセキュリティ処理に用いられるマスター鍵Kとが関連付けられている。
FIG. 4 shows that a UE with an IMSI of 001 can utilize the
図4は、セキュリティ情報管理部42が複数のNSシステムに関するマスター鍵を管理することを示しているが、セキュリティ情報管理部42は、一つのNSシステムに関するマスター鍵のみを管理してもよい。例えば、AuC40は、NSシステム110に関するマスター鍵Kを管理する装置として用いられてもよい。この場合、セキュリティ情報管理部42は、NSIDに関する情報を管理せず、IMSIとマスター鍵Kとを関連付けて管理してもよい。
FIG. 4 shows that the security
図3に戻り、NS鍵生成部43は、マスター鍵Kを用いて、それぞれのNSシステムにおいて用いられるサービス鍵Ksvを生成する。例えば、NS鍵生成部43は、マスター鍵Ka_001を用いて、IMSIが001であるUEが、NSシステム110において用いられるサービス鍵Ksv−Aを生成する。さらに、NS鍵生成部43は、マスター鍵Kb_001を用いて、IMSIが001であるUEが、NSシステム120において用いられるサービス鍵Ksv−Bを生成する。IMSIが002であるUEに対しても同様に、サービス鍵Ksvを生成する。
Returning to FIG. 3, the NS
図5を用いて本開示の実施の形態2にかかるHSS30の構成例について説明する。HSS30は、通信部31及び情報管理部32を有している。通信部31及び情報管理部32は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。もしくは、通信部31及び情報管理部32は、回路もしくはチップ等のハードウェアであってもよい。通信部31は、送信部(transmitter)及び受信部(receiver)であってもよい。
A configuration example of the
通信部31は、AuC40、AuC50、及びAuC60との間においてデータを伝送する。さらに、通信部31は、NSシステム110を構成するノード装置、NSシステム120を構成するノード装置、及び、NSシステム130を構成するノード装置との間においてデータを伝送する。
The
情報管理部32は、AuC40等とNSシステムとを関連付けた情報を管理している。ここで、図6を用いて、情報管理部32が管理する情報について説明する。図6は、AuC40と、NSシステム110〜NSシステム130とが関連付けられており、さらに、AuC50とNSシステム140〜NSシステム160とが関連付けられていることを示している。AuC40とNSシステム110〜NSシステム130とが関連付けられているとは、AuC40が、UE毎に、NSシステム110〜NSシステム130においてセキュリティ処理に用いられるマスター鍵Kを管理していることである。
The
図7を用いて本開示の実施の形態2にかかるUE90の構成例について説明する。UE90は、通信部91及びNS鍵生成部92を有している。通信部91及びNS鍵生成部92は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。もしくは、通信部91及びNS鍵生成部92は、回路もしくはチップ等のハードウェアであってもよい。通信部91は、送信部(transmitter)及び受信部(receiver)であってもよい。
A configuration example of the
通信部91は、主に、5G RAN80を構成する基地局等との間においてデータ伝送を行う。
The
NS鍵生成部92は、マスター鍵Kを用いて、それぞれのNSシステムにおいて用いられるサービス鍵Ksvを生成する。例えば、NS鍵生成部92は、NSシステム110及びNSシステム120を利用することができるとする。この場合、NS鍵生成部92は、マスター鍵Ka_001を用いて、NSシステム110において用いるサービス鍵Ksv−Aを生成し、マスター鍵Kb_001を用いて、NSシステム120において用いるサービス鍵Ksv−Bを生成する。
The NS
例えば、通信部91は、複数のSIMを有し、SIM毎に異なるマスター鍵Kを管理してもよい。また、それぞれのSIMは、いずれかのNSシステムと対応付けられていてもよい。
For example, the
図8を用いて本開示の実施の形態2にかかるUE90に関するAttach処理の流れについて説明する。
The flow of Attach processing relating to the
はじめに、UE90は、5G RAN80との間において接続処理を開始する(S11)。例えば、UE90は、5G RAN80に配置されている基地局と通信を行うために、無線通信回線を介して基地局と接続する。
First, the
次に、UE90は、5G RAN80を介してCPF70へAttach requestメッセージを送信する(S12)。UE90は、例えば、NSシステム110において提供されているサービスを利用する。この場合、UE90は、UE90のIMSI及びNSシステム110を示すNSID、を設定したAttach requestメッセージをCPF70に送信する。UE90は、複数のNSIDを設定しても構わない。
Next, the
次に、UE90、CPF70、HSS30、及び、AuC40の間においてAKA(Authentication and Key Agreement)処理を実行する(S13)。ステップS13におけるAKA処理を実行することによって、UE90において生成されたサービス鍵Ksv−Aと、AuC40において生成されたサービス鍵Ksv−Aとが一致することを、UE90及びHSS30において確認することができる。UE90がAttach requestメッセージに複数のNSIDを設定した場合、NSシステム毎に、サービス鍵Ksvが生成される。この場合、ステップS13のAKA処理において、UE90においてNSシステム毎に生成されたサービス鍵Ksvと、AuC40においてNSシステム毎に生成されたサービス鍵Ksvとが一致するかを確認する。UE90、CPF70、HSS30、及び、AuC40の間において、AKA以外の処理が実行されることによって、サービス鍵Ksvの認証が行われててもよい。
Next, the AKA (Authentication and Key Agreement) process is executed between the
UE90は、ステップS13におけるAKA処理が実行された後に、サービス鍵Ksv−Aを用いて、NSシステム110において提供されているサービスを利用することができる。例えば、UE90が、NSシステム110が有する装置に対してアクセスする際に、UE90は、UE90を操作するユーザから入力されたパスワード情報等を、NSシステム110が有する装置へ送信してもよい。NSシステム110が有する装置は、送信されたパスワードの正当性を確認できた場合に、UE90に対してサービスを提供してもよい。
After the AKA process in step S13 is executed, the
もしくは、NSシステム110が有する装置は、UE90に関するサービス鍵Ksv−Aを予め保持していてもよい。例えば、NSシステム110が有する装置は、HSS30もしくはAuC40からサービス鍵Ksv−Aを取得してもよい。NSシステム110が有する装置は、AKA処理を実行し、自装置が保持するサービス鍵Ksv−Aと、UE90が保持するサービス鍵Ksv−Aとが一致する場合に、UE90に対してサービスを提供してもよい。
Alternatively, the device included in the
図8においては、ステップS12において、UE90が、UE90のIMSI及びNSシステム110を示すNSIDを設定したAttach requestメッセージをCPF70へ送信することを示している。一方、UE90が利用することができるNSシステムが一つだけであり、HSS30において、UE90が利用することができるNSシステムが加入者情報として管理されている場合、UE90は、IMSIのみを設定したAttach requestメッセージをCPF70へ送信してもよい。UE90が利用することができるNSシステムが複数ある場合、UE90は、IMSI及び利用するNSシステムの識別情報を設定したAttach requestメッセージをCPF70へ送信する。
In FIG. 8, in step S12, it is shown that the
図9を用いて、図8のステップS13におけるAKA処理の詳細について説明する。はじめに、CPF70は、HSS30へAuthentication data requestメッセージを送信する(S21)。Authentication data requestメッセージには、UE90のIMSI(International Mobile Subscriber Identity)、及び、UE90が利用を希望するNSシステムを示すNSIDが含まれる。NSIDは、例えば、NSシステム110を示す識別情報である。
The details of the AKA process in step S13 of FIG. 8 will be described with reference to FIG. First, the
次に、HSS30は、AuC40へAuth data create requestメッセージを送信する(S22)。Auth data create requestメッセージには、UE90のIMSI、及び、UE90が利用を希望するNSシステムを示すNSIDが含まれる。図9においては、NSIDは、NSシステム110を示す識別情報であるとする。HSS30は、図6に示す情報を用いて、UE90が指定するNSIDと関連付けられているAuCを特定することができる。ここでは、HSS30は、NSシステム110を示すNSIDを受信している。そのため、HSS30は、Auth data create requestメッセージの送信先を、図6に示す情報を用いて、AuC40と特定することができる。UE90が、NSIDを指定しなかった場合、HSS30は、予め定められたデフォルトNSシステムと関連付けられているAuCを特定する。デフォルトNSシステムは、UE毎に予め定められていてもよく、HSS30において管理されている優先度に従って定められてもよい。優先度は、UE毎に定められてもよい。
Next, the
UE90が利用可能なNSシステムが1つのみであり、HSS30が、UE90のIMSIと、UE90が利用可能なNSシステムとを関連付ける情報を加入者情報として管理しているとする。この場合、HSS30は、CPF70から送信されるIMSIを用いて、UE90が利用可能なNSシステムを特定することができる。HSS30は、UE90が接続可能な複数のNSIDを加入者データとして管理している場合がある。この場合、HSS30は加入者データが示すすべてのNSIDに対応するAuC40等へAuth data create requestメッセージを繰り返し送信してもかまわない。
It is assumed that there is only one NS system that can be used by the
次に、AuC40は、KDF(Key Deriviation Function)を用いて、サービス鍵Ksv−Aを導出する(S23)。ここで、図10を用いて、AuC40のNS鍵生成部43における、KDFを用いたサービス鍵Ksvの導出処理について説明する。
Next, AuC40 derives the service key Ksv-A using KDF (Key Derivation Function) (S23). Here, with reference to FIG. 10, the derivation process of the service key Ksv using KDF in the NS
図10は、KDFへ、マスター鍵K、NSID、RAND(Random number)、及び、SQN(Sequence Number)が入力された結果、XRES(Expected Response)、AUTN(Authentication token)、及び、サービス鍵Ksvが出力されることを示している。KDFは、例えば、HMAC-SHA-256等の導出関数が用いられる。ここで、KDFへ入力されるマスター鍵Kは、NSシステム110に関連付けられているサービス鍵Kaとする。さらに、KDFから出力されるサービス鍵Ksvは、NSシステム110において用いられるサービス鍵Ksv−Aとする。
In FIG. 10, as a result of inputting the master key K, NSID, RAND (Random number), and SQN (Sequence Number) into the KDF, the XRES (Expected Response), AUTON (Authentication token), and service key Ksv are obtained. Indicates that it will be output. For KDF, for example, a derivation function such as HMAC-SHA-256 is used. Here, the master key K input to the KDF is the service key Ka associated with the
図9に戻り、AuC40は、HSS30へAuth data create responseメッセージを送信する(S24)。Auth data create responseメッセージには、RAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNが含まれる。Authentication data responseメッセージに含まれるRANDは、ステップS23において、Ksv−A等を生成する際に入力パラメータとして用いられたRANDと同様である。XRES、Ksv−A、及び、AUTNは、ステップS23において生成されたXRES、Ksv−A、及び、AUTNと同様である。Ksv−A_IDは、Ksv−Aを識別する識別情報である。HSS30が、複数のAuCにAuth data create requestメッセージを繰り返し送信した場合は、すべてのAuCから対応するAuth data create responseメッセージが返送される事を確認し、その後、各Auth data create responseメッセージに含まれるRAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNを、対応するNSID毎にAuthentication data responseメッセージに設定する。 Returning to FIG. 9, AuC40 sends an Auth data create response message to HSS30 (S24). The Auth data create response message includes RAND, XRES, Ksv-A, Ksv-A_ID, and AUTN. The RAND included in the Authentication data response message is the same as the RAND used as an input parameter when generating Ksv-A or the like in step S23. XRES, Ksv-A, and AUTON are the same as XRES, Ksv-A, and AUTON generated in step S23. Ksv-A_ID is identification information that identifies Ksv-A. When the HSS30 repeatedly sends Auth data create request messages to multiple AuCs, it confirms that the corresponding Auth data create response messages are returned from all AuCs, and then it is included in each Auth data create response message. RAND, XRES, Ksv-A, Ksv-A_ID, and AUTON are set in the Authentication data response message for each corresponding NSID.
次に、HSS30は、CPF70へAuthentication data responseメッセージを送信する(S25)。Authentication data responseメッセージには、ステップS24において送信されたAuth data create responseメッセージに含まれていたRAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNが含まれる。RAND、XRES、Ksv−A、Ksv−A_ID、及び、AUTNは、NSID毎に設定される場合もある。
Next, the
次に、CPF70は、5G RAN42を介してUE90へAuthentication requestメッセージを送信する(S26)。Authentication requestメッセージには、RAND、AUTN、及び、Ksv−A_IDが含まれる。RAND、AUTN、及び、Ksv−A_IDは、ステップS25においてHSS30から受信したRAND、AUTN、及び、Ksv−A_IDである。UE90が、Attach requestメッセージ(S12)で複数のNSIDを設定した場合は、NSID毎のRAND、AUTN、及び、Ksv−A_IDが設定される。
Next, the
次に、UE90は、KDFを用いて、サービス鍵Ksv−Aを導出する(S27)。ここで、図11を用いて、UE90のNS鍵生成部92における、KDFを用いたサービス鍵Ksvの導出処理について説明する。
Next, the
図11は、KDFへ、マスター鍵K、NSID、RAND、及び、AUTNが入力された結果、RES(Response)、SQN、及び、サービス鍵Ksvが出力されることを示している。KDFは、例えば、HMAC-SHA-256等の導出関数が用いられる。ここで、KDFへ入力されるマスター鍵Kは、NSシステム110に関連付けられているサービス鍵Kaが用いられるとする。さらに、KDFから出力されるサービス鍵Ksvは、NSシステム110において用いられるサービス鍵Ksv−Aとする。なお、ここでは、UE90は、アクセスできるNSシステムが事前に決められており、そのNSシステムのNSIDをあらかじめ保持していることを前提としている。
FIG. 11 shows that the RES (Response), SQN, and service key Ksv are output as a result of inputting the master key K, NSID, RAND, and AUTON into the KDF. For KDF, for example, a derivation function such as HMAC-SHA-256 is used. Here, it is assumed that the service key Ka associated with the
図9に戻り、UE90は、5G RAN80を介してCPF70へAuthentication responseメッセージを送信する(S28)。Authentication responseメッセージには、RESが含まれる。Authentication responseメッセージに含まれるRESは、ステップS27において生成されたRESと同様である。Authentication requestメッセージ(S26)に複数のNSIDが設定された場合は、NSID毎のRESが設定される。
Returning to FIG. 9, the
次に、CPF70は、ステップS25において受信したAuthentication data responseメッセージに含まれるXRESと、ステップS28において受信したAuthentication responseメッセージに含まれるRESとを比較する(S29)。ステップS29において、CPF70は、RESとXRESとが一致する場合、AuC40において生成されたKsv−Aと、UE90において生成されたKsv−Aとが一致すると判定することができる。複数のNSIDが扱われる場合は、CPF70は、RESとXRESとの比較をNSID毎に実行される。CPF70は、RESとXRESとが一致した場合、RESとXRESとが一致したこと、もしくは、Ksv−Aに関する認証が成功したことをHSS30へ通知する。さらに、HSS30は、Ksv−A_IDとKsv−AとをNSシステム110へ送信する。
Next, the
次に、UE90に関するAKA処理がエラーとなる場合について説明する。例えば、AuC40は、Auth data create requestに設定されたNSIDを、UE90が利用可能でない場合、Auth data create requestメッセージに対する応答メッセージとしてAuC40は、cause値”No subscription to Network slice”を含むAuth data create errorメッセージをHSS30に送信する。更に、HSS30は、cause値”No subscription to Network slice”を含むAuthentication data rejectメッセージをCPF70に送信する。更に、CPF70は、cause値”Access to Network slice not allowed”を含むAuthentication failureメッセージをUE90に送信する。この場合、UE90はAttach requestメッセージ(S12)で設定したNSIDがオペレータネットワークで提供されない事を記憶する。また、この場合、UE90は別のNSIDを設定し同一オペレータネットワークに向けてATTACH手順を行ってもかまわない。
Next, a case where the AKA process related to the
また、ステップS29の認証に失敗した場合、CPF70は、cause値”Network Slice Authentication failed” を含むAuthentication failureメッセージをUE90に送信する。この場合、UE90はAttach requestメッセージ(S12)で設定したNSIDがオペレータネットワークで提供されない事を記憶する。また、この場合、UE90は別のNSIDを設定し同一オペレータネットワークに向けてATTACH手順を行ってもかまわない。
If the authentication in step S29 fails, the
また、複数のNSIDに対して行われた認証について一部のNSIDのみに関する認証が成功した場合の動作について説明する。この場合、CPF70は、認証が失敗したとみなしUE90にその旨を通知し再ATTACHを促す場合と、認証されたNSIDのみに対して接続を許容する場合とがある。以下がそれぞれの場合の動作である。
In addition, the operation when the authentication for only some NSIDs is successful for the authentication performed for a plurality of NSIDs will be described. In this case, the
認証が失敗したとみなしUE90にその旨を通知し再ATTACHを促す場合:
CPF70は、cause値”Network Slice Authentication failed” を含むAuthentication failureメッセージををUE90に送信する。この場合、CPF70は、各NSIDの認証結果状況を示す”Authentication status list”をAuthentication failureメッセージに設定してもかまわない。この場合、UE90は部分的に認証が成功したNSIDのみを設定し同一オペレータネットワークに向けてATTACH手順を行ってもかまわない。When it is considered that the authentication has failed and the
The
認証されたNSIDのみに対して接続を許容する場合:
CPF70は、部分的に認証が成功したとしてcause値”Network Slice Authentication partially failed” を含むAuthentication responseメッセージををUE90に送信しても良い。この場合、CPF70は、各NSIDの認証結果状況を示す”Authentication status list”をAuthentication responseメッセージに設定してもかまわない。この場合、UE90は部分的に認証が成功したNSIDのみに対して認証が成功した事を認識する。この場合、UE90は部分的に認証が成功したNetwork Sliceで提供されるサービスのみを享受してもかまわない。To allow connections only for authenticated NSIDs:
The
次にUE90が、Attach requestメッセージ(S12)に設定したNSIDに対する認証が成功した場合の動作について説明する。CPF70は、認証したサービス鍵Ksvを図2に示されるNetwork Sliceシステムに通知してもよい。更にNetwork Sliceシステムは、サービス鍵Ksvを利用して必要なサービス鍵を更に生成しても構わない。また、図2に示されるNetwork Sliceシステムは、HSS30と連動して更なる認証動作を行っても構わない。
Next, the operation when the
また、HSS30は、UE90のIMSIと、UE90が利用可能なNSIDとを関連付けて管理していてもよい。この場合、ステップS21において、HSS30は、Authentication data requestメッセージを受信する。Authentication data requestメッセージに設定されたNSIDを、UE90が利用可能でない場合、HSS30は、Authentication data requestメッセージに対する応答メッセージとしてエラーメッセージを送信する。HSS30は、各AuCに関連付けデータを要求することができる。また、各AuCは、関連付けデータを更新した場合に、HSS30に更新したデータを送信することができる。例えば、各AuCは、図12に示すように、IMSI、NSID、及びアクセス権とを関連付けて管理してもよい。関連付けデータは、図12に示すように、例えば、IMSI、NSID、及びアクセス権とを関連付けたデータである。図12は、IMSIが003であるUEは、NSシステム110にはアクセスすることができるが、NSシステム120及びNSシステム130にはアクセスすることができないことを示している。さらに、IMSIが004であるUEは、NSシステム140及びNSシステム150にはアクセスすることができるが、NSシステム160にはアクセスすることができないことを示している。各AuCは、図12に示すデータを更新した場合、更新したデータをHSS30へ送信する。
Further, the
(実施の形態3)
続いて、図13を用いて本開示の実施の形態3にかかる通信システムの構成例について説明する。図13は、UE95が、ホーム網であるHPLMN(Home Public Land Mobile Network)101からVPLMN(Visited Public Land Mobile Network)102へ移動したことを示している。言い換えると、図13は、UE95が、HPLMN101からVPLMN102へローミングしたことを示している。(Embodiment 3)
Subsequently, a configuration example of the communication system according to the third embodiment of the present disclosure will be described with reference to FIG. FIG. 13 shows that the
HPLMN101は、HSS35、AuC51、AuC52、CPF71、DEA(Diameter Edge Agent)72、NSシステム111、及び、NSシステム112を有している。UE95は、5G RAN81を介してHPLMN101と通信を行う。また、VPLMN102は、HSS36、AuC61、AuC62、CPF73、DEA74、NSシステム121、及び、NSシステム122を有している。UE95は、5G RAN82を介してVPLMN102と通信を行う。DEA72及びDEA74は、Diameter信号を中継する装置である。DEA72及びDEA74以外の構成については、図2に示す通信ネットワークと同様である。
HPLMN101 has HSS35, AuC51, AuC52, CPF71, DEA (Diameter Edge Agent) 72, NS system 111, and
UE95が、HPLMN101からVPLMN102へ移動した場合、VPLMN102においてAttach処理を実行する。この場合、UE95は、図8のステップS11及びS12において説明したAttach処理と同様に、5G RAN82を介してCPF73へ接続する。
When the
次に、CPF73は、図8のステップS13において、HSS36へ問い合わせた結果、UE95がHPLMN101をホーム網とするローミング端末であると決定する。そのため、CPF73は、DEA74及びDEA72を介してCPF71に接続する。UE95は、CPF73、DEA74、及びDEA72を介して、CPF71との間において、AKA処理を実行する。UE95は、例えば、HPLMN101におけるNSシステム111が提供するサービスを利用することを要望しているとする。この場合、UE95は、CPF71との間においてAKA処理を実行し、認証が完了すると、例えば、NSシステム121を介してNSシステム111と通信を行ってもよい。
Next, as a result of inquiring to the
VPLMN102は、ローミング端末が利用可能なNSシステムとして、予めNSシステム121を定めていてもよい。もしくは、HPLMN101のNSシステム111に対応するVPLMN102のNSシステム、および、HPLMN101のNSシステム112に対応するVPLMN102のNSシステムが予め定められていてもよい。例えば、HPLMN101のNSシステム111とVPLMN102のNSシステム121とを対応付け、HPLMN101のNSシステム112とVPLMN102のNSシステム122とを対応付けてもよい。
The
以上説明したように、UE95は、HPLMN101からVPLMN102へローミングした場合であっても、VPLMN102を介してHPLMN101におけるNSシステムへアクセスすることができる。
As described above, the
続いて以下では、上述の複数の実施形態で説明されたUE90、AuC40〜60、及び、HSS30の構成例について説明する。 Subsequently, the configuration examples of UE90, AuC40-60, and HSS30 described in the plurality of embodiments described above will be described below.
図14は、UE90及びUE95の構成例を示すブロック図である。Radio Frequency(RF)トランシーバ1101は、5G RAN80、81及び82と通信するためにアナログRF信号処理を行う。RFトランシーバ1101により行われるアナログRF信号処理は、周波数アップコンバージョン、周波数ダウンコンバージョン、及び増幅を含む。RFトランシーバ1101は、アンテナ1102及びベースバンドプロセッサ1103と結合される。すなわち、RFトランシーバ1101は、変調シンボルデータ(又はOFDMシンボルデータ)をベースバンドプロセッサ1103から受信し、送信RF信号を生成し、送信RF信号をアンテナ1102に供給する。また、RFトランシーバ1101は、アンテナ1102によって受信された受信RF信号に基づいてベースバンド受信信号を生成し、これをベースバンドプロセッサ1103に供給する。
FIG. 14 is a block diagram showing a configuration example of UE90 and UE95. Radio Frequency (RF)
ベースバンドプロセッサ1103は、無線通信のためのデジタルベースバンド信号処理(データプレーン処理)とコントロールプレーン処理を行う。デジタルベースバンド信号処理は、(a) データ圧縮/復元、(b) データのセグメンテーション/コンカテネーション、(c) 伝送フォーマット(伝送フレーム)の生成/分解、(d) 伝送路符号化/復号化、(e) 変調(シンボルマッピング)/復調、及び(f) Inverse Fast Fourier Transform(IFFT)によるOFDMシンボルデータ(ベースバンドOFDM信号)の生成などを含む。一方、コントロールプレーン処理は、レイヤ1(e.g., 送信電力制御)、レイヤ2(e.g., 無線リソース管理、及びhybrid automatic repeat request(HARQ)処理)、及びレイヤ3(e.g., アタッチ、モビリティ、及び通話管理に関するシグナリング)の通信管理を含む。
The
例えば、LTEおよびLTE-Advancedの場合、ベースバンドプロセッサ1103によるデジタルベースバンド信号処理は、Packet Data Convergence Protocol(PDCP)レイヤ、Radio Link Control(RLC)レイヤ、MACレイヤ、およびPHYレイヤの信号処理を含んでもよい。また、ベースバンドプロセッサ1103によるコントロールプレーン処理は、Non-Access Stratum(NAS)プロトコル、RRCプロトコル、及びMAC CEの処理を含んでもよい。
For example, for LTE and LTE-Advanced, digital baseband signal processing by the
ベースバンドプロセッサ1103は、デジタルベースバンド信号処理を行うモデム・プロセッサ(e.g., Digital Signal Processor(DSP))とコントロールプレーン処理を行うプロトコルスタック・プロセッサ(e.g., Central Processing Unit(CPU)、又はMicro Processing Unit(MPU))を含んでもよい。この場合、コントロールプレーン処理を行うプロトコルスタック・プロセッサは、後述するアプリケーションプロセッサ1104と共通化されてもよい。
The
アプリケーションプロセッサ1104は、CPU、MPU、マイクロプロセッサ、又はプロセッサコアとも呼ばれる。アプリケーションプロセッサ1104は、複数のプロセッサ(複数のプロセッサコア)を含んでもよい。アプリケーションプロセッサ1104は、メモリ1106又は図示されていないメモリから読み出されたシステムソフトウェアプログラム(Operating System(OS))及び様々なアプリケーションプログラム(例えば、通話アプリケーション、WEBブラウザ、メーラ、カメラ操作アプリケーション、音楽再生アプリケーション)を実行することによって、UE90及びUE95の各種機能を実現する。
The
いくつかの実装において、図14に破線(1105)で示されているように、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのチップ上に集積されてもよい。言い換えると、ベースバンドプロセッサ1103及びアプリケーションプロセッサ1104は、1つのSystem on Chip(SoC)デバイス1105として実装されてもよい。SoCデバイスは、システムLarge Scale Integration(LSI)またはチップセットと呼ばれることもある。
In some implementations, the
メモリ1106は、揮発性メモリ若しくは不揮発性メモリ又はこれらの組合せである。メモリ1106は、物理的に独立した複数のメモリデバイスを含んでもよい。揮発性メモリは、例えば、Static Random Access Memory(SRAM)若しくはDynamic RAM(DRAM)又はこれらの組み合わせである。不揮発性メモリは、マスクRead Only Memory(MROM)、Electrically Erasable Programmable ROM(EEPROM)、フラッシュメモリ、若しくはハードディスクドライブ、又はこれらの任意の組合せである。例えば、メモリ1106は、ベースバンドプロセッサ1103、アプリケーションプロセッサ1104、及びSoC1105からアクセス可能な外部メモリデバイスを含んでもよい。メモリ1106は、ベースバンドプロセッサ1103内、アプリケーションプロセッサ1104内、又はSoC1105内に集積された内蔵メモリデバイスを含んでもよい。さらに、メモリ1106は、Universal Integrated Circuit Card(UICC)内のメモリを含んでもよい。
The
メモリ1106は、上述の複数の実施形態で説明されたUE90及びUE95による処理を行うための命令群およびデータを含むソフトウェアモジュール(コンピュータプログラム)を格納してもよい。いくつかの実装において、ベースバンドプロセッサ1103又はアプリケーションプロセッサ1104は、当該ソフトウェアモジュールをメモリ1106から読み出して実行することで、上述の実施形態で説明されたUE90及びUE95の処理を行うよう構成されてもよい。
The
図15は、AuC40、AuC50、AuC51、AuC52、AuC60、AuC61、AuC62、HSS30、HSS35、及び、HSS36(以下、AuC40等とする)の構成例を示すブロック図である。図15を参照すると、AuC40等は、ネットワークインターフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワークインターフェース1201は、ネットワークノード(e.g., eNodeB130、MME、P-GW、)と通信するために使用される。ネットワークインターフェース1201は、例えば、IEEE 802.3 seriesに準拠したネットワークインタフェースカード(NIC)を含んでもよい。
FIG. 15 is a block diagram showing a configuration example of AuC40, AuC50, AuC51, AuC52, AuC60, AuC61, AuC62, HSS30, HSS35, and HSS36 (hereinafter referred to as AuC40 and the like). With reference to FIG. 15, AuC40 and the like include a
プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてシーケンス図及びフローチャートを用いて説明されたAuC40等の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。
The
メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/Oインタフェースを介してメモリ1203にアクセスしてもよい。
The
図15の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたAuC40等の処理を行うことができる。
In the example of FIG. 15,
図14及び図15を用いて説明したように、上述の実施形態にUE90及びUE95、AuC40、AuC50、AuC51、AuC52、60、AuC61、AuC62、HSS30、HSS35、及び、HSS36が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。このプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、Compact Disc Read Only Memory(CD-ROM)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、Programmable ROM(PROM)、Erasable PROM(EPROM)、フラッシュROM、Random Access Memory(RAM))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
As described with reference to FIGS. 14 and 15, each of the processors included in the
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施の形態を適宜組み合わせて実施されてもよい。 The present disclosure is not limited to the above embodiment, and can be appropriately modified without departing from the spirit. Further, the present disclosure may be carried out by appropriately combining the respective embodiments.
以上、実施の形態を参照して本願開示を説明したが、本願開示は上記によって限定されるものではない。本願開示の構成や詳細には、開示のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the disclosure of the present application has been described above with reference to the embodiments, the disclosure of the present application is not limited to the above. Various changes that can be understood by those skilled in the art can be made to the structure and details of the disclosure of the present application within the scope of the disclosure.
この出願は、2016年7月15日に出願された日本出願特願2016−140760を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority on the basis of Japanese application Japanese Patent Application No. 2016-140760 filed on July 15, 2016 and incorporates all of its disclosures herein.
10 加入者情報管理装置
20 セキュリティ装置
30 HSS
31 通信部
32 情報管理部
35 HSS
36 HSS
40 AuC
41 通信部
42 セキュリティ情報管理部
43 NS鍵生成部
50 AuC
51 AuC
52 AuC
60 AuC
61 AuC
62 AuC
70 CPF
71 CPF
72 DEA
73 CPF
74 DEA
80 5G RAN
81 5G RAN
82 5G RAN
90 UE
91 通信部
92 NS鍵生成部
95 UE
100 コアネットワーク
101 HPLMN
102 VPLMN
110 NSシステム
111 NSシステム
112 NSシステム
120 NSシステム
121 NSシステム
122 NSシステム
130 NSシステム10 Subscriber
31
36 HSS
40 AuC
41
51 AuC
52 AuC
60 AuC
61 AuC
62 AuC
70 CPF
71 CPF
72 DEA
73 CPF
74 DEA
80 5G RAN
81 5G RAN
825G RAN
90 UE
91
100
102 VPLMN
110 NS system 111
Claims (8)
コアネットワークシステムが、通信端末から複数のネットワークスライスシステムのID(Identity)を含む第1のメッセージを受信し、 The core network system receives a first message containing the identities of a plurality of network slice systems from a communication terminal, and receives a first message.
前記コアネットワークシステムが、前記複数のネットワークスライスシステムのIDのそれぞれに対して前記通信端末に認証を行い、 The core network system authenticates the communication terminal for each of the IDs of the plurality of network slice systems.
前記コアネットワークシステムが、前記通信端末に前記認証が成功したか否かを含む第2のメッセージを送信する、通信方法。 A communication method in which the core network system transmits a second message including whether or not the authentication is successful to the communication terminal.
前記コアネットワークシステムは、前記認証が失敗した場合、当該認証の失敗に関するcause値を前記通信端末に送信する。 When the authentication fails, the core network system transmits a cause value related to the failure of the authentication to the communication terminal.
前記コアネットワークシステムは、サーバ装置を備え、 The core network system includes a server device and
前記サーバ装置は、前記複数のネットワークスライスシステムに対する認証に関する加入者情報を有する。 The server device has subscriber information regarding authentication for the plurality of network slice systems.
前記通信端末から前記複数のネットワークスライスシステムのID(Identity)を含む第1のメッセージを受信し、 Upon receiving the first message including the IDs (Identities) of the plurality of network slice systems from the communication terminal,
前記複数のネットワークスライスシステムのIDのそれぞれに対して前記通信端末に認証を行い、 The communication terminal is authenticated for each of the IDs of the plurality of network slice systems.
前記通信端末に前記認証が成功したか否かを含む第2のメッセージを送信する、通信方法。 A communication method for transmitting a second message including whether or not the authentication is successful to the communication terminal.
前記認証が失敗した場合、当該失敗に関するcause値を前記通信端末に送信する。 When the authentication fails, the cause value related to the failure is transmitted to the communication terminal.
前記コアネットワークシステムは、サーバ装置を備え、 The core network system includes a server device and
前記サーバ装置は、前記複数のネットワークスライスシステムに対する認証に関する加入者情報を有する。 The server device has subscriber information regarding authentication for the plurality of network slice systems.
複数のネットワークスライスシステムのID(Identity)を含む第1のメッセージを、コアネットワークシステムに送信し、 A first message containing the identities of multiple network slice systems is sent to the core network system and
前記複数のネットワークスライスシステムのIDのそれぞれに対して認証を行った前記コアネットワークシステムから、前記認証が成功したか否かを含む第2のメッセージを受信する、通信方法。 A communication method for receiving a second message including whether or not the authentication is successful from the core network system that has authenticated for each of the IDs of the plurality of network slice systems.
前記認証が失敗した場合、当該認証の失敗に関するcause値を前記コアネットワークシステムから受信する。 When the authentication fails, a cause value related to the authentication failure is received from the core network system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020163072A JP6962432B2 (en) | 2016-07-15 | 2020-09-29 | Communication method, control plane device, method for control plane device or communication terminal, and communication terminal |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016140760 | 2016-07-15 | ||
JP2016140760 | 2016-07-15 | ||
PCT/JP2017/025680 WO2018012611A1 (en) | 2016-07-15 | 2017-07-14 | Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium, and communication terminal |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020163072A Division JP6962432B2 (en) | 2016-07-15 | 2020-09-29 | Communication method, control plane device, method for control plane device or communication terminal, and communication terminal |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018012611A1 JPWO2018012611A1 (en) | 2019-05-16 |
JP6773116B2 true JP6773116B2 (en) | 2020-10-21 |
Family
ID=60952096
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018527677A Active JP6773116B2 (en) | 2016-07-15 | 2017-07-14 | Communication method |
JP2020163072A Active JP6962432B2 (en) | 2016-07-15 | 2020-09-29 | Communication method, control plane device, method for control plane device or communication terminal, and communication terminal |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020163072A Active JP6962432B2 (en) | 2016-07-15 | 2020-09-29 | Communication method, control plane device, method for control plane device or communication terminal, and communication terminal |
Country Status (6)
Country | Link |
---|---|
US (2) | US20190246270A1 (en) |
EP (2) | EP3767983A1 (en) |
JP (2) | JP6773116B2 (en) |
KR (2) | KR102193511B1 (en) |
CN (1) | CN109479193B (en) |
WO (1) | WO2018012611A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108012267B (en) * | 2016-10-31 | 2022-05-24 | 华为技术有限公司 | Network authentication method, related equipment and system |
US11848871B2 (en) | 2017-10-23 | 2023-12-19 | Nokia Solutions And Networks Oy | Network slice management |
US20220046416A1 (en) * | 2018-09-28 | 2022-02-10 | Nec Corporation | Core network device, communication terminal, communication system, authentication method, and communication method |
WO2020099931A1 (en) * | 2018-11-16 | 2020-05-22 | Lenovo (Singapore) Pte. Ltd. | Accessing a denied network resource |
CN111865872B (en) * | 2019-04-26 | 2021-08-27 | 大唐移动通信设备有限公司 | Method and equipment for realizing terminal security policy in network slice |
CN111414645B (en) * | 2020-03-19 | 2022-07-05 | 中国电子科技集团公司第三十研究所 | Safe HSS/UDM design method and system for realizing privacy protection function |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100904215B1 (en) * | 2008-11-19 | 2009-06-25 | 넷큐브테크놀러지 주식회사 | System and method for managing access to network based on user authentication |
KR101504717B1 (en) * | 2010-09-16 | 2015-03-23 | 에스케이텔레콤 주식회사 | System and method for terminal authentication processing |
CN103782615A (en) * | 2011-07-08 | 2014-05-07 | 诺基亚公司 | Method and apparatus for authenticating subscribers to long term evolution telecommunication networks or universal mobile telecommunications system |
CN109041089B (en) * | 2012-08-08 | 2021-12-31 | 华为技术有限公司 | Information processing method and device |
US9912582B2 (en) * | 2013-11-18 | 2018-03-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
KR20150116092A (en) * | 2014-04-04 | 2015-10-15 | 한국전자통신연구원 | Method and apparatus for partitoning newtork based on slicing |
WO2015160674A1 (en) | 2014-04-17 | 2015-10-22 | Mavenir Systems, Inc. | Gsm a3/a8 authentication in an ims network |
US10074178B2 (en) | 2015-01-30 | 2018-09-11 | Dental Imaging Technologies Corporation | Intra-oral image acquisition alignment |
US20160353367A1 (en) * | 2015-06-01 | 2016-12-01 | Huawei Technologies Co., Ltd. | System and Method for Virtualized Functions in Control and Data Planes |
US9930524B2 (en) * | 2015-06-22 | 2018-03-27 | Verizon Patent And Licensing Inc. | Detecting a second user device identifier based on registration of a first user device identifier |
CN108141756A (en) * | 2015-09-29 | 2018-06-08 | 瑞典爱立信有限公司 | Facilitate network slice management |
KR20200079352A (en) * | 2016-02-16 | 2020-07-02 | 아이디에이씨 홀딩스, 인크. | Network slicing operation |
CN108886678B (en) * | 2016-03-21 | 2020-03-10 | 华为技术有限公司 | Message interaction method, device and system |
JP2019096918A (en) | 2016-04-05 | 2019-06-20 | シャープ株式会社 | Terminal, base station device, mme (mobility management entity) and communication control method |
-
2017
- 2017-07-14 EP EP20194811.4A patent/EP3767983A1/en not_active Withdrawn
- 2017-07-14 KR KR1020207021917A patent/KR102193511B1/en active IP Right Grant
- 2017-07-14 KR KR1020197004154A patent/KR102140521B1/en active IP Right Grant
- 2017-07-14 CN CN201780044013.0A patent/CN109479193B/en active Active
- 2017-07-14 EP EP17827734.9A patent/EP3487198A1/en not_active Withdrawn
- 2017-07-14 JP JP2018527677A patent/JP6773116B2/en active Active
- 2017-07-14 WO PCT/JP2017/025680 patent/WO2018012611A1/en unknown
- 2017-07-14 US US16/311,463 patent/US20190246270A1/en not_active Abandoned
-
2020
- 2020-04-20 US US16/853,403 patent/US11153751B2/en active Active
- 2020-09-29 JP JP2020163072A patent/JP6962432B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11153751B2 (en) | 2021-10-19 |
EP3487198A4 (en) | 2019-05-22 |
CN109479193A (en) | 2019-03-15 |
JPWO2018012611A1 (en) | 2019-05-16 |
US20190246270A1 (en) | 2019-08-08 |
EP3487198A1 (en) | 2019-05-22 |
KR20200093086A (en) | 2020-08-04 |
CN109479193B (en) | 2021-10-01 |
US20200252798A1 (en) | 2020-08-06 |
KR102140521B1 (en) | 2020-08-03 |
JP6962432B2 (en) | 2021-11-05 |
KR102193511B1 (en) | 2020-12-21 |
WO2018012611A1 (en) | 2018-01-18 |
KR20190030714A (en) | 2019-03-22 |
JP2021010174A (en) | 2021-01-28 |
EP3767983A1 (en) | 2021-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6962432B2 (en) | Communication method, control plane device, method for control plane device or communication terminal, and communication terminal | |
US11937079B2 (en) | Communication terminal, core network device, core network node, network node, and key deriving method | |
US11265705B2 (en) | Communication system, communication terminal, AMF entity, and communication method | |
US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
US20200329372A1 (en) | Key derivation method, communication system, communication terminal, and communication device | |
US20220295273A1 (en) | System and method for deriving a profile for a target endpoint device | |
CN112020869B (en) | Unified subscription identifier management in a communication system | |
JP2018523418A (en) | Network access identifier including identifier for cellular access network node | |
US20190253403A1 (en) | Network Authentication Triggering Method and Related Device | |
JPWO2018079692A1 (en) | System, base station, core network node, and method | |
TW202308363A (en) | Authentication between user equipment and communication network for onboarding process | |
WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
WO2020178046A1 (en) | User equipment-initiated request for type of authentication and key agreement exchange in a communication system | |
WO2018139588A1 (en) | Communication terminal, information management method, and computer-readable medium | |
US11956627B2 (en) | Securing user equipment identifier for use external to communication network | |
WO2023142102A1 (en) | Security configuration update in communication networks | |
US20230209343A1 (en) | Network-assisted attachment for hybrid subscribers | |
WO2020090861A1 (en) | Communication terminal, core network device, communication method, and communication system | |
CN117044249A (en) | Capability-based registration authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181219 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200508 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200508 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200508 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200515 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200616 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200901 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200914 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6773116 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |